Bedrohungen für DNS-Server sind alle Arten von Angriffen, die die Verfügbarkeit, Geschwindigkeit und Performance von DNS-Services beeinträchtigen. Dazu gehören DNS-Floods, die DNS-Server mit Ressourcenanforderungen überlasten, damit die Server für legitime Anfragen nicht mehr verfügbar sind. DNS-Spoofing oder Cache Poisoning ist eine Art von Cyberangriff, der Traffic auf eine betrügerische Website umleitet. DNS-Tunneling nutzt Daten, die in DNS-Abfragen und -Antworten codiert sind, um einen DNS-Server zu übernehmen und Angreifern dessen Remote-Verwaltung zu ermöglichen.
Stellen Sie die Verfügbarkeit und Sicherheit Ihrer DNS-Server sicher
Das Domain Name System (DNS) übersetzt die von Menschen verwendeten Domainnamen von Hosts (z. B. www.firmenwebsite.de) in IP-Adressen, die von Maschinen gelesen werden können. DNS-Server sind unerlässlich für ein positives Surferlebnis sowie schnelle und zuverlässige Internetverbindungen zu Websites, APIs und in der Cloud gehosteter Anwendungssoftware.
Der Schutz der DNS-Server ist für Ihre IT-Sicherheitsteams von entscheidender Bedeutung. Da DNS Ihren Nutzern den Zugriff auf Webanwendungen und APIs ermöglicht, stellt jede Bedrohung Ihrer DNS-Server auch eine Bedrohung für den Geschäftsbetrieb, die Rentabilität und das Vertrauen von Kunden und Partnern dar.
Trotz der Bedeutung der DNS-Auflösung für die Website- und Anwendungsperformance haben viele Unternehmen nicht in eine adäquate DNS-Infrastruktur investiert und verlassen sich oft nur auf zwei oder drei DNS-Server, über die Nutzer sich mit den gesuchten Websites und Anwendungen verbinden können. Dieser Ansatz macht den DNS-Service anfällig für DDoS-Angriffe (Distributed Denial of Service) und Ausfälle von Rechenzentren.
Akamai Edge DNS ist eine cloudbasierte Lösung, die rund um die Uhr Verfügbarkeit bietet, die Reaktionsfähigkeit verbessert und so für widerstandsfähige DNS-Server sorgt, die auch bei den größten DDoS-Angriffen Schutz bieten.
Akamai Edge DNS
Akamai hat Edge DNS ursprünglich entwickelt, um die Bereitstellung autoritativer DNS-Services zur Unterstützung von Lösungen in unserem globalen Content Delivery Network (CDN) zu ermöglichen. Innerhalb unserer stark verteilten Edge- und Cloudplattformhaben wir Edge DNS für eine größere Skalierbarkeit entwickelt, als sie bei den meisten der derzeit auf dem Markt erhältlichen autoritativen DNS-Services vorgesehen ist. Während sich die DNS-Server und -Lösungen von Mitbewerbern in der Regel ausschließlich auf die Performance konzentrieren, ist Edge DNS darauf ausgelegt, neben einer außergewöhnlichen Performance auch eine hohe Verfügbarkeit und höhere Widerstandsfähigkeit gegen Angriffe zu bieten.
Edge DNS verwendet ein IP-Anycast-Modell, um DNS-Abfragen zu beantworten. Das bedeutet, dass Kunden von Akamai nicht mehr auf zwei oder drei DNS-Server angewiesen sind, sondern auf Tausende von Nameservern zugreifen können, die an mehr als 4.100 Standorten weltweit bereitgestellt werden. IP Anycast leitet Anfragen von Endnutzern an den nächstgelegenen Point of Presence weiter, um eine Anfrage aufzulösen. Dies ermöglicht eine höhere Performance, eine größere Skalierbarkeit und eine weitere Verteilung. Die Nutzung von IP Anycast ist zwar nicht nur bei Akamai möglich, wir segmentieren jedoch auch Nameserver und Points of Presence innerhalb mehrerer IP-Anycast-Clouds, sodass Edge DNS in Bezug auf Verfügbarkeit, Skalierung und Verteilung mit mehreren eigenständigen DNS-Anbietern vergleichbar ist.
Mit Edge-DNS-Servern von Akamai können Sie:
- Sich auf garantierte, ununterbrochene DNS-Verfügbarkeit verlassen. Sich auf ein SLA mit 100 % Verfügbarkeit und eine ausfallsichere Architektur für geschäftskritische DNS-Services verlassen.
- DNS-Kosten im Griff behalten. Vermeiden Sie unvorhergesehene Kosten durch eine hohe DNS-Ausnutzung mit einer vorhersehbaren, zonenbasierten Abrechnung.
- Stellen Sie den Zugang mit sekundären DNS-Servern sicher. Verbessern Sie die Verfügbarkeit Ihres primären DNS-Servers mit Edge DNS durch die Nutzung internetbasierter sekundärer Zonen.
Edge DNS ist Teil einer Suite von Anwendungs- und API-Sicherheitslösungen, mit denen Unternehmen eine Vielzahl von Multi-Vektor-Angriffen abwehren können. Akamai App & API Protector bietet eine umfassende Anwendungssicherheit mit Schutz vor Angriffen auf Webanwendungen und APIs. Prolexic bietet die effektivste Abwehr von DDoS-Angriffen in großem Maßstab. Und Client-Side Protection & Compliance schützt Websites vor clientseitigen Bedrohungen, indem schädliche Aktivitäten erkannt und blockiert werden.
Überwachung und Deaktivierung von Domains
Neben der DNS-Redundanz für Ihre Domains erfordert die Domainsicherheit auch die Überwachung des Internets auf täuschende Namen und die Deaktivierung von Domainnamen, die sich wegen gefälschter Websites negativ auf die Marke auswirken, Markenfälschung betreiben und Traffic abzweigen sowie persönliche Daten wie Anmeldedaten von Nutzern stehlen. Mit Zonenschutz und der Deaktivierung von Domains können Sie sich proaktiv über böswillige Domains von Drittanbietern informieren und deren Nutzung im Internet verhindern. Für jede überwachte Domain ist eine Liste zugehöriger Domains mit einer Reihe von Attributen wie z. B. der Risikostufe verfügbar. Für jede dieser Domains steht eine Reihe von Aktionen zur Verfügung, darunter: [a] Änderungen an einer Domain nachverfolgen, z. B. neue MX-Einträge (Mail Exchange), [b] eine Domain zur Nachverfolgung kennzeichnen, [c] eine Priorität für die Sortierung festlegen und [d] deaktivieren.
Vorteile von Edge DNS
Garantiert rund um die Uhr verfügbare DNS-Server. Durch die Nutzung der skalierbaren, weltweit verteilten Plattform von Akamai können Sie sicherstellen, dass Ihre Kunden, Mitarbeiter und Partner schnell auf Ihre Webanwendungen und APIs zugreifen können.
Blockieren Sie die größten DDoS-Angriffe. Die konkurrenzlose Skalierbarkeit und Kapazität der Akamai Connected Cloud stellt sicher, dass Edge DNS selbst die größten DDoS-Angriffe abwehren kann und gleichzeitig die Verfügbarkeit für die Nutzer gewährleistet. Die integrierte Steuerung der Ausfallsicherheit sorgt für eine dauerhafte Verfügbarkeit auch in Anbetracht einer Vielzahl von DNS-Angriffstypen.
Schnellere und zuverlässigere Auflösung. Zone Apex Mapping und Tausende von DNS-Servern weltweit sorgen für eine zuverlässige, schnelle DNS-Performance.
Einfachere Kostenverwaltung. Da die Preise auf der Anzahl der Zonen statt auf der Anzahl der Anfragen basieren, haben Sie präzise Kontrolle über Ihre DNS-Kosten.
Verhindert DNS-Fälschung. Blockieren Sie DNS-Fälschungsangriffe mit Domain Name System Security Extensions (DNSSEC).
Einfacheres Management. Akamai Control Center, Edge-DNS-APIs und die Integration etwa in Terraform optimieren die Verwaltung der DNS-Infrastruktur.
DNS als Code verwalten. Ermöglichen Sie Entwicklern die Verwendung von APIs und vorhandenen Verwaltungstools zur Automatisierung des Edge-DNS-Workflows.
Überwachung und Deaktivierung von Domains. Überwachen Sie das Internet auf ähnlich aussehende Domainnamen und deaktivieren Sie Domains, die Spoofing und Markenverletzungen betreiben.
DDoS-Sicherheit mit Edge DNS
Während die Architektur, die Skalierbarkeit und die Kapazität von Edge DNS eine höhere Ausfallsicherheit bei DDoS-Angriffen bieten, schaffen unsere DNS-Server auch Sicherheitskontrollen, die DNS-Floods, eine bestimmten Art von DDoS-Angriff, abwehren können. DNS-Floods nutzen enorme Volumina legitimer DNS-Anfragen, um eine überwältigende Menge an Rechen- und Speicherressourcen auf physischen Nameservern zu binden. Daher können die angegriffenen DNS-Server nicht auf Anfragen von legitimen Endnutzern reagieren.
Um Sie vor DNS-Floods zu schützen, bietet Edge DNS mehrere wichtige Funktionen:
- Skalierbarkeit. Unserer autoritativen DNS-Server lassen sich bis zu einem Vielfachen der Größe der Lösungen unserer Mitbewerber skalieren. Mit Tausenden von Nameservern, die an mehr als 1.000 Standorten weltweit bereitgestellt werden, stellt Edge DNS ausreichende Rechen- und Speicherressourcen bereit, um große Spitzen bei Anfragen aus DNS-Floods abzufedern.
- Ratenbeschränkung. Edge-DNS-Einstellungen können so konfiguriert werden, dass Anforderungen von verdächtigen Resolvern automatisch gelöscht werden, nachdem ihre Anzahl einen definierten Schwellenwert überschritten hat. Die Ratenbeschränkung verhindert, dass ein Anstieg bei DNS-Anfragen übermäßig Rechen- und Speicherressourcen belegt. Außerdem kann sie bei der Bekämpfung von Angriffen nützlich sein, bei denen zwar eine hohe Anzahl von Anfragen generiert, aber nur eine relativ geringe Bandbreite belegt wird.
- Whitelists für DNS. Die beispiellose Skalierbarkeit und Kapazität der Akamai Intelligent Connected Cloud bietet unseren Sicherheitsexperten einzigartige Einblicke in das Verhalten rekursiver Resolver, die für etwa 95 % der legitimen DNS-Lookups verantwortlich sind. Bei Bedarf kann Edge DNS ein positives Sicherheitsmodell bereitstellen, um die Aktivität auf eine Gruppe von DNS-Resolvern zu beschränken, die als legitim bekannt sind.
Global Traffic Management
In Verbindung mit Edge DNS bietet Global Traffic Management (GTM) ein komplettes Repertoire an DNS-Steuermechanismen, wie z. B. die geografische Zuordnung von Nutzern zu Ressourcen in bestimmten Regionen der Welt oder die gleichmäßige Verteilung des Traffics über mehrere geografische Standorte, wobei jeder Nutzer bevorzugt einen Server in seiner geografischen Nähe nutzt.
GTM ist ein DNS- und cloudbasierter Load Balancer/Server, der die Intelligenz und Skalierbarkeit der Akamai Connected Cloud nutzt, um Fehlertoleranz, hohe Performance und ununterbrochene Verfügbarkeit für Web- und API-Traffic zu gewährleisten. GTM verwendet einen allgemeinen Regelsatz und Variablen und nutzt einen Standard-DNS-Workflow, um Endnutzeranfragen an das Rechenzentrum weiterzuleiten, das dem betreffenden Nutzer die Inhalte auf optimale Weise bereitstellen kann. Und da es sich bei der Akamai Connected Cloud um eine stark verteilte Edge- und Cloud-Plattform handelt, kann GTM diese Rolle besser erfüllen als jeder vergleichbare Service. GTM wird von einigen der weltweit größten und bekanntesten Unternehmen in vielen Branchen eingesetzt und bietet durch die Kombination aus Akamai Control Center, einer robusten API und einer starken DevOps-Integration die perfekte Verbindung von Funktionalität und Nutzerfreundlichkeit.
Häufig gestellte Fragen (FAQ)
IP Anycast ist eine Netzwerk-Routing-Technik, bei der mehrere identische Netzwerkknoten in einem verteilten Netzwerk bereitgestellt werden, um eine einzige gemeinsame IP-Adresse bereitzustellen. Alle Knoten reagieren auf dieselbe IP-Adresse und der Traffic wird aufgrund von Routingprotokollen zum nächstgelegenen Knoten geleitet, damit die Nutzer die geringste Latenz und höchste Verfügbarkeit erhalten.
Ein Load Balancer ist ein Gerät, das Netzwerk- oder Anwendungstraffic über mehrere Server verteilt. Load Balancer werden verwendet, um die Kapazität (gleichzeitige Nutzer) und die Zuverlässigkeit von Anwendungen zu steigern. Sie verbessern die Gesamtperformance von Anwendungen, indem sie die mit der Verwaltung und Wartung von Anwendungs- und Netzwerksitzungen zusammenhängende Belastung der Server verringern und anwendungsspezifische Aufgaben ausführen.
Warum entscheiden sich Kunden für Akamai?
Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Akamai Connected Cloud, eine stark verteilte Edge- und Cloudplattform, bringt Anwendungen und Erlebnisse näher an die Nutzer und hält Bedrohungen fern.